大厂屡遭“互联网诈骗”？专家：技术没门槛防范有难度(组图)

澎湃新闻记者范家来周迪

5月25日，#搜狐全员工资补贴诈骗#冲上微博热搜榜首。

网上流传的一段聊天记录显示，5月18日上午，搜狐全体员工都收到了“搜狐财务部”发来的一封题为“5月份员工工资补贴通知”的邮件。被骗，他们的工资卡余额被借记。据澎湃新闻报道，记者向搜狐多位内部员工证实，他们确实收到了上述诈骗邮件。

同日，搜狐官方微博回应称，经调查，一名员工在使用邮箱时不慎被钓鱼，导致密码泄露，后冒充财务部门盗取邮箱。事件发生后微博企业号，公司信息技术、安全部门立即对事件进行处理，并向公安机关报案。据统计，共有24名员工被骗4万余元。

澎湃新闻记者采访多位行业专家发现，类似“工资补贴”邮件是常见的钓鱼诈骗，操作起来几乎没有技术难度。此外，此类服务还可以在电商平台上轻松购买，窃取他人信息发送虚假邮件，已成为一条隐蔽的黑灰色产业链。

同时，据记者不完全统计，今年以来，全国有关部门多次发布警惕“补贴骗局”的公告，数量已超过50个。

大厂为何屡遭“网络诈骗”？专家：技术无门槛，预防难

5月25日中午，搜狐CEO张朝阳立即在微博回应“员工诈骗”事件。

他提到，背后的原因是搜狐员工的内部邮箱密码被盗，小偷冒充财务部给员工发信。公司发现后，技术部紧急处理，资金损失总额不到5万元。另外，本次发送的诈骗邮件不涉及公共服务的个人邮箱。

澎湃新闻记者发现微博企业号，类似以“工资补贴”为名的诈骗邮件在企业内部并不少见。今年2月，“诈骗邮件”的截图也在B站流传。一位知情人士向记者透露，这封邮件是通过群发方式传播给所有员工的，很多员工上当受骗，总被骗金额达数万元。网上流传的截图显示，东风汽车、美的、芒果传媒等公司被“中枪”，部分员工反映收到假公司官员的钓鱼诈骗邮件。

东风汽车在网上收到的诈骗邮件截图

网上芒果传媒内部截图

来自互联网的群组内部邮件截图

“这很可能是典型的 OA 网络钓鱼攻击。”奇安信产业安全研究中心主任裴志勇告诉记者。

在他看来，通常的攻击过程大致如下：攻击者首先窃取或恶意注册公司内部邮箱，然后利用该邮箱向其他员工发送邮件，诱骗他们进入钓鱼网站（假公司邮箱登录）页面）输入帐号和密码，从而骗取邮箱密码。 “攻击者窃取内部邮箱账户的过程很可能是通过另一封钓鱼邮件完成的。”

“电子邮件本身就是一种攻击成本低但难以防御的互联网服务。”裴志勇说。 “只要知道内部员工的邮箱，就可以通过任意邮箱向受害者发送钓鱼邮件或中毒邮件，无需了解公司内部系统。”

“搜狐遇到的诈骗邮件背后其实没有技术难点。”网络剑道安全团队创始人曲子龙接受澎湃新闻采访。 “对一家公司实施类似的攻击非常容易，您可以想到数百种方法。”

很多网友想知道，为什么搜狐作为一家提供电子邮件服务的专业企业，也会遭遇群发“钓鱼”邮件的诈骗事件？

在曲子龙看来，彻底根除类似风险是极其困难的。 “首先是公司的重要性，如果公司足够重视，可以在内部邮箱中加入过滤指令，提高风控能力，但也很难防止员工的个人信息被网络钓鱼获取网站。”

曲子龙提到，由于公司内部工作沟通极为密切，一旦员工不慎通过钓鱼网站泄露信息，就意味着整个公司的信息都会暴露在黑客的眼中。即便不是通过电子邮件传播，也有可能通过手机、微信等方式传播，想要彻底杜绝是极其困难的。 “除非公司实施计算机监控以检查员工使用公司计算机浏览的每个网站地址，否则这是个人隐私问题。”

是否可以通过技术手段识别钓鱼邮件？裴志勇介绍，目前主要使用的识别方法包括：识别外发邮箱是否恶意、分析文本中是否存在敏感词、判断邮件中的URL是否为钓鱼网站。如果攻击者已经盗取了内部员工的邮箱，并使用了全新的钓鱼URL，仅仅依靠邮件识别系统，将很难识别钓鱼邮件。

他承认，如果是外部群发邮件，他可以通过收件人数量来判断是否为垃圾邮件并拦截。但如果是内部邮箱群发邮件，往往很难找到。如果攻击者只针对一个或几个收件人，通常是无法检测到的。

花800元随意更换邮件发件人

网络钓鱼已经存在了很长时间，并不是一种新的诈骗形式。虽然员工被钓鱼网站欺骗，但赢得他们信任的关键是邮件后缀来自公司。这是怎么做到的？

记者了解到，实现换邮箱效果的方法有很多，其中最常用的就是使用邮件代理。裴志勇介绍，所谓邮件代理，是指软件先将邮件截断，发送到受控邮箱，再由受控邮箱截取邮件正文，再将邮件转发给原收件人。这样收件人看到的发件人是代理邮箱或者中继邮箱发送的邮件，而不是原来的邮箱，这样原来的发件人邮箱就被隐藏了。

“通过伪造发送协议，更改传输信息，可以轻松更改邮件地址，从而可以从任意地址发送邮件。”曲子龙说道。至于其背后的原理，可以比作快递。目前国内大部分邮箱系统都无法正确识别发件人的伪造攻击。 “一般快递在填写托运单的时候，比较看重收件人信息，不会对发件人信息进行全面核实，这意味着发件人信息有足够的造假空间。”

类似的邮件代理服务在电商平台上形成了一条隐蔽的黑灰色产业链。澎湃新闻记者以“修改邮箱发件人”、“虚拟邮箱”、“更改地址”等关键词搜索各大电商平台，发现伪造邮箱服务很容易买到。一位商家告诉记者，无论是寄件地址、时间还是寄件人姓名都可以修改，价格在800元/包左右，加附件需要200元服务费。

电商平台上关于“修改邮箱”的商家很容易被搜索到

“800元，这么贵？”记者询问，商家回应：“用别人邮箱发，自己想想，800贵不贵？”

另一位业内人士向记者表示，只要购买相应的服务器，就可以从任何邮箱地址发送邮件。该页面特别标明：“如果您使用此工具发送任何违反法律法规的电子邮件，与本站无关。”

公司如何预防？可以采用“零信任”的方式，需要一定的成本

在漏洞频发的邮件系统中，是不是无法做好预防措施？业内专家给出的一般建议是可以采用“零信任”的方式，即对所有账户登录和使用情况进行持续监控和动态授权。

什么是“零信任”系统？腾讯安全专家李铁军告诉澎湃新闻，顾名思义，“零信任”的关键是打破“信任”。默认不信任企业网络内外的任何人、设备或系统，基于身份认证和授权重建访问控制。

“零信任”系统可以立即识别哪些账户有异常活动，哪些账户被盗或成为“内鬼”账户，并封禁这些账户。例如，如果某个员工的邮箱刚刚登录办公网段，突然在外地某处登录，立即向其他员工发送大量邮件，这很可能是一个被盗且有风险的账户。

“在零信任机制的保护下，攻击者会发现仅仅依靠用户名和密码是无法登录公司内网的。”李铁军表示，系统会验证登录是否异常，需要通过动态密码进一步验证身份。如果对方真的入侵公司系统，想要访问关键信息，零信任系统给出的验证要求会更高，可以有效防范风险。

不过他也提到，零信任系统不是万能的，会有“漏网之鱼”，需要企业提供更多的技术解决方案。 “比如在后台不断检查网络情况，每台主机的网络是否会出现异常访问，企业的网关位置会检查某台主机是否访问了有风险的网站。这些其实都是早期的警告信息。”值得一提的是，零信任系统也需要一定的企业成本。

近年来，由于类似“网络诈骗”的频发，不少企业都加大了对网络安全的重视力度。以腾讯为例，相关负责人告诉澎湃新闻，腾讯获取资源受常用地址、设备、应用类型等约束；在应对方式上，腾讯从一开始就只有直接发布和直接拒绝两种。在访问一些关键资源时，还增加了短信通知、企业微信通知、严格的多因素认证等通知。

京东成立集团级安全风险控制委员会，对安全风险问题进行统一管理。针对邮件收发场景，京东开启了双重认证，检测和拦截钓鱼邮件，同时限制向所有员工和部分关键群体群发邮件，将安全风险降到最低。

记者了解到，京东将定期对员工进行钓鱼邮件演练和安全意识培训，帮助员工主动识别钓鱼邮件，并提供每天举报钓鱼邮件的方式。

今年以来，有关部门共发出警告通知50余条。反欺诈中心：请勿点击未知链接

要彻底杜绝被“钓鱼”的风险，除了提高企业的风控能力外，员工还应增强安全风险意识。

“实际上，我们默认黑客可以轻松获取某人的个人密码和登录信息。”李铁军告诉澎湃新闻。 “因为人们经常在多个场景中使用一个密码，一旦部分密码泄露，就意味着所有密码都泄露了，破解难度不是很大。”

李铁军认为，员工应该尽量不要使用过于简单的密码，也不要针对不同的场景使用相同的密码。 “本案是通过手机扫码访问了钓鱼网站，影响比较小。更严重的是，网站打开时，公司内部系统可能会自动安装后门程序，释放病毒，并导致整个内部网络瘫痪，后续影响可能更严重，难以想象。”

虽然钓鱼邮件并不少见，但记者观察到，疫情以来，随着居家办公频率的增加，类似诈骗案件呈上升趋势。多地公安机关和反诈骗中心也关注此事并给出提示。据记者搜索官方微博、微信等平台不完全统计，今年以来，吉林、内蒙古、青海、河南、江苏、浙江、上海、福建、广东等省市已经通过微信、微博等平台发布了50多条警示“补贴骗局”的公告。

今年2月24日，江苏省公安厅官网转载了南京市公安局安全防范措施，专门分析了以“领补贴”为名的诈骗邮件套路：犯罪分子犯罪嫌疑人先用技术手段攻破企业邮箱，再以人事、财务部门名义发送虚假通知，诱使员工填写身份证号、银行卡号、预留手机号、卡余额等信息然后，犯罪嫌疑人根据银行卡余额确定诈骗的“目标金额”，快速购买网上易变现的充值卡等虚拟物品，再次获取银行发送的支付短信验证码，从而实现盗窃。

对此，全国多地反诈骗中心给出了类似的四点提示：慎重鉴别信息的真伪；通过官方渠道获取相关信息；请立即接听96110（反诈骗专线）电话，下载安装全国反诈骗中心APP。国家反诈骗中心也将反诈骗概括为“三不一多”的原则：不点击陌生链接、不信任陌生电话、不泄露个人信息、核实更多转账和汇款。

此外，记者还观察到，除公安机关、反诈骗中心、法院检察院、人力资源社会保障部门、银行保险监管部门外，国内多家银行、高校和科研机构全国许多地方也发布了关于网络钓鱼电子邮件的防骗提示。 3月15日，人力资源和社会保障部在微信公众号驳斥“2022补贴”，并提醒公众不要被虚假信息所迷惑。